こんにちは、Azure ID チームの埴山です。 本記事は Azure Tech Advent Calendar 4 日目の記事です。 今回はトラブルシューティングの方法ではなく、Azure AD を利用したアプリケーション開発における、”API 権限” について説明します。特に Microsoft Graph API を題材に API エコシステムの中身を見ていきます。 Azure AD を利用してアプリ開発を検討している方や、Azure AD における OAuth の実装について詳しく知りたい方への記事となります。チュートリアルなどについては、一通り動かしたことのある方を対象とした記事ですので、Azure AD で保護されたアプリケーション開発の基礎については Microsoft ID プラットフォームのドキュメント | Microsoft Docs の公開ドキュメントをご確認ください...

Read more

いつも Azure Identity サポート チームのブログを参照いただきましてありがとうございます。 今回は 9/28 に発生しました Azure Active Directory の障害について、RCA (Root Cause Analysis) レポートの日本語版の抄訳を紹介します。原文は 状態の履歴および根本原因分析 (RCA) を確認ください。 日本語版の抄訳の PDF については、以下のリンクよりダウンロード頂けます。 SM79-F88_JP.pdf この障害では Azure / Office 365 ポータルへのサインインができないことをはじめ、障害の対象となりましたテナントで多大な影響が生じました。改めて、今回の障害により多くのお客様にご迷惑をお掛けしましたことを深くお詫び申し上げます。 9/28 RCA – 複数の Microsoft サービスおよび Azure Act...

Read more

こんにちは、Azure Identity サポート チームの谷です。 Microsoft Graph API の lastSignInDateTime プロパティを取得することで、実際に Azure AD に長期間サインインを行っていないユーザーを取得することが可能です。 Azure AD で非アクティブなユーザー アカウントを管理する https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/howto-manage-inactive-user-accounts 上記 API を利用し、組織内のユーザーとその最終サインイン日時、最後に利用したクラウド アプリケーションを一覧で CSV 形式ファイルで取得するまでを GitHub にサンプルとしてお纏めしました。 具体的な設定手順も REA...

Read more

こんにちは、Azure & Identity サポート チームの菊池です。 Azure AD 上のユーザーをオンプレミス Active Drectory ユーザーと紐づける方法として、ハードマッチとソフトマッチと呼ばれる方法があります。今回はソフトマッチについてご紹介します。 ソフトマッチとは ?ソフトマッチとは、Azure AD 上のユーザーとオンプレミス AD 上のユーザーを proxyAddresses または UserPrincipalName (UPN) で紐づけて、同期させる手法のことをいいます。基本的にはユーザーを紐づける必要がある場合には、ソフトマッチを利用することを推奨します。ソフトマッチができない場合にはハードマッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保するソースアンカーと呼ばれる ID 情報 (ImmutableID) を紐づけます。ハード...

Read more

こんにちは、Azure & Identity サポート チームの谷口です。 今回は、最近多くご質問いただいております、135001 エラーが出力された際の対処方法をご紹介します。エラーコード 700003 が出力されている場合は、以下の記事を参照ください。 エラーコード 700003 の対処策について エラーコード 135011 について Azure Active Directory (Azure AD) にデバイスを登録するとそのデバイスに紐づく形で PRT (Primary Refresh Token) というものを取得できるようになり、この PRT を用いて Office 365 など Azure AD と連携したアプリケーションのサインイン時にシングル サインオン (SSO) できるようになります。 このエラーは、Azure AD 上に登録された デバイス オブジェクトが無...

Read more

本記事は、 2020 年 8 月 3 日に Azure Active Directory Identity Blog に公開された記事 (End users can now report “This wasn’t me” for unusual sign-in activity) の抄訳です。原文は こちら より参照ください。 Azure AD My Sign-Ins が利用できるようになりました。パブリック プレビューの blog post にありますように、**[自分のサインイン]** ページで、次の情報を確認することができます。 だれかがパスワードを推測しようとしているような痕跡。 普段の利用場所とは異なるところから攻撃者が自分のアカウントへのサインインに成功したこと。 攻撃者がアクセスしようとしたアプリ。 加えて、エンドユーザーが通常とは異なるサインインが発生した場合に “こ...

Read more

本記事は、 2020 年 9 月 2 日に Azure Active Directory Identity Blog に公開された記事 (Securing a remote workforce with Zero Trust) を翻訳したものです。原文は こちら より参照ください。 COVID-19 に対応して在宅で勤務する従業員が増える中、企業のリソースを保護するためには、アイデンティティ中心の、セキュリティソリューションが必要とされています。 Concurrency の CTO、Nathan Lasnoski は、顧客と協力して、アイデンティティ保護を中心に据えたゼロ トラスト 戦略を導入してきました。 以下の “Voice of the Partner” の記事では、彼のアプローチが世界的な海洋メーカーである Brunswick Corporation にどのようなメリットをもたら...

Read more

こんにちは、Azure Identity サポート チームの谷です。現在ご利用環境のバージョンが 1.5.4x.0 未満、かつ、別のサーバーに新規に Azure AD Connect インストールし、利用環境の設定情報を復元する場合の方法です。例えば、現在利用している Azure AD Connect のバージョンが 1.1.647.0 で 1.5.45.0 にスイング アップグレードするために、追加で Azure AD Connect 用にサーバーを構成し、Azure AD Connect の各種設定を行う場合が想定される方法となります。 留意事項予め Azure AD Connect 1.5.4x.0 以降のバージョンをインストールし、スクリプト ファイル MigrateSettings.ps1 を取得し、既存の Azure AD Connect サーバーに配置しておく必要があります。...

Read more

本記事は、 2020 年 8 月 11 日に Azure Active Directory Identity Blog に公開された記事 (Conditional Access policies now apply to all client applications by default) を翻訳したものです。原文は こちら より参照ください。 組織の安全性を確保するためには、ユーザーに対して多要素認証 (MFA) を有効にすることが効果的です。 電話やトークンコードのような従来の方法でも、Authenticator、Windows Hello、FIDO のような最新のパスワードレスの方法でも、MFA を使用することでアカウントの不正アクセスを 99.9% 以上減少させることができます。MFA の採用を検討するうえで、MFA をサポートできないレガシ認証エンドポイントをブロックすること...

Read more

こんにちは、Azure & Identity サポート チームの 姚 ( ヨウ ) です。 今回は Windows Hello for Business (以下 WHfB) の構成の種類について整理し、簡単に解説したいと思います。あくまで、どういう種類の構成があるのかを整理する目的で、それぞれの構成の詳細な手順や動作については今回はカバーしません。 今後 WHfB の構成の把握と利用の検討に活用いただけますと幸いです。 WHfB には展開モデル、そして信頼モデルの概念があります。はじめに展開モデルについて、続いて信頼モデルの順に説明して整理していきます。 展開モデルとは展開モデルはユーザーの認証先を示しており、 (1) クラウドのみ、(2) ハイブリッド、(3) オンプレミスのみ の 3 つに分類されます。それぞれの展開モデルについて以下の表にお纏めしましたのでご参照ください。 ...

Read more